ブラックハット小規模な商店や小売店がスマートフォンやタブレットを携帯型販売端末として使うガジェットやアプリのことでしょうか? 安全性がかなり低い可能性もあるので、きっと驚くことになるでしょう。
これらのモバイル端末は、カフェやジム、その他の小規模な店舗で、現金以外の支払いを受け付けるためによく見かけます。加盟店が数字を入力し、利用者はスマートフォンやタブレットに物理的または無線で接続されたデバイスにカードを通すだけで、取引はインターネット経由で電子的に処理されます。しかしながら、Positive Technologiesによる9ヶ月間の調査によると、これらの比較的安価なデバイスは必ずしも安全とは言えません。
この調査はリー=アン・ギャロウェイ氏とティム・ユヌソフ氏によって行われ、当初はわずか2種類のカードリーダーを調査対象としていました。しかし、その後すぐにプロジェクトは拡大し、Square、SumUp、iZettle、PayPalの4社が提供する7種類のカードリーダーを調査対象とし、米国と欧州という2つの異なる地域での動作を比較しました。これらのカードリーダーのすべてが現在、あるいは過去に攻撃に対して脆弱だったわけではなく、発見された脆弱性の深刻度も様々でした。
![モバイルPOSエコシステム[出典:Positive Technologies]](https://image.brawte.com/anejbkmn/e3/b1/mpos_ecossysyem.webp)
データフロー…モバイル決済端末システムの様々なコンポーネントがどのように連携するか。カードがリーダーに入り、Bluetooth経由でスマートフォンやタブレットと通信し、そこからアプリケーションを介してインターネット経由で決済処理業者と通信します。
2人はEl Regに対し、PayPal、SumUp、iZettle、そしてSquareの2つのカードリーダーの計5台にカードを通すと、顧客を騙して予想以上の金額を使わせることが可能だと発見したと語った。
悪質な商人や近くにいる悪意のある人物が、カードリーダーとそのモバイル端末間の暗号化された Bluetooth 接続を盗聴し、値を改ざんして、最終的な請求額がリーダーに以前表示された金額よりも高くなる可能性があります。
以下は、顧客に購入した商品の価格が 1 ポンドであることを通知するカード リーダーですが、実際には、機器と電話の間の無線接続に不正操作が行われていたため、スマートフォン アプリはより高い金額が承認されたと認識しました。
![モバイルPOSハッキングによる送金金額 [出典: Positive Technologies]](https://image.brawte.com/anejbkmn/10/bf/mpos_overpayment_con_hack.webp)
困った…カードリーダーには1.00ポンドと表示されているのに、決済アプリは顧客に1.23ポンドを請求する
Positive Technologiesの2人は、任意のコマンドを送信することで画面表示を変更できる端末を2つ特定しました。これは、悪意のあるソフトウェアがカードリーダーのディスプレイを介して顧客に、チップ&PINではなく磁気ストライプなど、安全性の低い支払い方法を使用するよう指示したり、「支払いが拒否されました」と表示してカード所有者に追加の取引をさせ、高額な請求額を請求したりする可能性があることを意味します。
最後に、Square および PayPal 用の Miura 製デバイスという 2 つの端末が、任意のコード実行に対して脆弱であることが判明しました。これにより、悪意のある人物がデバイスのファイル システムを調べ、PIN キーパッドからプレーンテキスト モードで読み取ってコードを盗み見たり、スワイプされた支払いカードから機密性の高いいわゆるトラック 2 データを暗号化される前に傍受したりすることが可能になります。
ここに、リモートコード実行エクスプロイトによって侵入された後にかわいい猫の漫画が表示された、Miura M010 リーダーというデバイスがあります。
![リモートコード実行によりMiura端末が乗っ取られる [出典: Positive Technologies]](https://image.brawte.com/anejbkmn/ce/c9/miura_reader_hack.webp)
ニャー!リモートコード実行ハッキングを受けたミウラM010リーダーにニャン猫が出現
コード実行の脆弱性は深刻だったものの、取引中に請求金額を変更できることが実際上最大の危険だったと、PTのギャロウェイ氏はEl Reg紙に語った。不正防止メカニズムはベンダーによって大きく異なり、ギャロウェイ氏は、このセキュリティの不備はモバイル決済技術の未成熟さに起因すると述べた。
「製品の価格が100ドル未満であれば、ある程度のセキュリティ対策は施されていないでしょう」とギャロウェイ氏は述べた。「一部のベンダーはPCIを厳密に遵守し、最低限の要件しか実装していません。」
対照的に、Squareはより成熟した企業です。例えば、2014年からバグ報奨金プログラムを実施しており、これにより、より高度な不正防止メカニズムの開発に役立っています。Squareの技術は、同社の端末と連携して使用される携帯電話が不正アクセスされたかどうかを検知できるとのことです。
発見されたバグはすべて4月にリーダーとアプリ開発者に報告されており、現在パッチ適用中、または既にパッチ適用を完了しています。三浦氏によると、上記のコード実行脆弱性は2016年のアップデートで修正済みです。SquareはM010ハードウェアの使用を段階的に廃止しており、PayPalは緩和策を講じています。
ギャロウェイ氏とユヌソフ氏は、木曜日にラスベガスで開催された今年の Black Hat USA カンファレンスで、研究「お金への愛:モバイル Point of Sales システムの脆弱性の発見と悪用」の詳細を発表しました。®
